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(57) Abstract: The invention concerns a system enabling a member (M) of a group (G) to produce, by means of customized data 
(z; K), a message (m) accompanied by a signature (8) proving to a verifier that the message originates from a member of the group 
(G). The invention is characterized in that the customized data is in the form of an electronic physical medium (26). Advantageously, 
the latter also incorporates: encrypting means (B3) for producing a customized cipher (C) from the customized data prior to the 
signature S of the message (m), means (B5) for producing a combination of a message m to be signed and the cipher (C) associated 
with said message, for example in the form of a concatenation of the message (m) with the cipher (C), and means (B6) for signing 
(Sig) the message (m ) with the customized data (z; K) in the form of a cipher (C) associated with said message. Advantageously, 
the physical medium is a smart card (26) or the like. 
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(57) Abrege : Le systeme permel a un membre (M) d'un groupe (G) de produire, a l'aide d*une donnee personnalisee (z ; K), 
un message (m) accompagne d'une signature (S) prouvant a un verifieur que le message provient d'un membre du groupe (G), et 
se caractcrisc par le fait que la donnee personnalisee se prcscnte sous forme int£grec a un support materiel dlectroniquc (26). Ce 
dernier integre avantageusement aussi : des moyens (B3) de chiffrement pour realiser un chiffre (C) personnalis^ a partir de la 
donnee personnalisee prealablement a la signature S du message (m), des moyens (B5) pour realiser une combinaison d'un message 
m a signer et le chiffre C associe* a ce message, par exemple sous forme de concatenation du message m avec le chiffre* (C), et des 
moyens (B6) de signature (Sig) du message (m) avec la donnee personnalisee (z ; K) sous forme dc chiffre (C) as socio a ce mcssge. 
Avantageusement, le support materiel est une carte a puce (26) ou analogue. 
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SYSTEME CRYPTOGRAPHIQUE DE SIGNATURE DE GROUPE 

L' invention concerne le domaine technique de la 
s6curite des services, et plus precisement de la signature 
electronique de message, au moyen de la cryptographie. 

On rappelle que la signature electronique est un 
5 mecanisme relevant de la cryptographie dite a cle publique: 
le signataire possfede une cle secrete et une cle publique 
associee. II produit la signature d ! un message a l'aide de 
sa cle secrete. Le verifieur a uniquement besoin de la cle 
publique pour verifier la signature. 

10 Plus precisement encore, 1 1 invention concerne les 

signatures (6lectroniques) de groupe. Une signature de 
groupe permet aux membres d'un groupe de produire une 
signature telle que le verifieur reconnaltra cette 
' signature comme ayant ete produite par un membre du groupe, 

15 tout en ignorant de quel membre il s'agit. Cependant, ' une 
autorite de confiance a la possibility de lever a tout 
moment cet anonymat et done de reveler l'identite du 
signataire. De telles signatures sont bien souvent "non- 
correlables" : il est impossible de determiner si deux 

20 signatures ont ete 6mises par la m§me personne ou non. 

Dans tout schema classique de signature de groupe, 
est attribute au groupe une unique cle publique de groupe, 
tandis qu'est attribue a chaque membre de ce groupe un 
identifiant et une cle privee qui leur sont propres. A 

25 l'aide de sa cle privee, un membre du groupe peut produire 
une signature de groupe d*un message de son choix, laquelle 
signature peut etre v6rifi£e par une entite quelconque a 
l'aide de la cl6 publique de groupe. La verification 
apprend seulement a cette entite que la signature a ete 

30 produite par un membre du groupe, mais ne lui donne aucune 
information sur 1 1 identifiant du membre qui a sign6. En 
revanche, 1' autorite de confiance dispose d'une information 
suppl&nentaire qui lui permet de retrouver 1 f identifiant de 
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ce membre, et done de lever cet anonymat a tout moment (on 
dit que l'autorite de confiance "ouvre" la signature). 

Les signatures de groupe ont beaucoup d' applications 
parmi lesguelles les deux suivantes. 
5 Une premiere application, decrite par reference a la 

figure 1, est donnee par les encheres electroniques . Elles 
mettent en place trois protagonistes : un serveur 
d' encheres 2, une autorite de confiance 4 et un client CI. 
L* ensemble des clients forme un groupe G dit "groupe des 

10 clients". Un utilisateur desirant s'inscrire au groupe des 
clients G doit s'adresser a l'autorite de confiance 4, qui 
lui fournit sa cle privee SK. II obtient ainsi le droit de 
produire une signature de groupe. Muni de ce droit, il 
pourra signer chacune de ses encheres de maniere anonyme. 

15 Lors d'une enchere pour un certain produit, chaque membre 
du groupe des clients peut encherir en signant un message 
contenant notamment le produit mis en vente et le montant 
de son enchere. Le serveur d' encheres 2 peut verifier 
1 ■ appartenance au groupe et done la validity de 1» enchere 

20 simplement en verifiant la signature de groupe. Le 
vainqueur est celui qui donne la derniere enchere avant 
1 'adjudication. Le dernier message recu par le serveur 
d' encheres est done celui du vainqueur. Le serveur adresse 
alors ce message et la signature de groupe correspondante a 

25 l'autorite de confiance 4, qui est la seule capable d'en 
lever 1' anonymat et done de determiner l'identite physique 
de l'acheteur du produit mis aux encheres. 

Les encheres se doivent d'etre rapides. En effet, 
elles se deroulent pendant un temps tres court ou parfois 

30 le premier qui encherit a un prix donne a des chances de 
gagner la partie parce qu'il aura atteint un niveau trop 
haut pour les autres. C'est pourquoi le mecanisme de 
signature de son off re ne doit pas prendre trop de temps. 

Une seconde application, decrite par reference a la 

35 figure 2, est le paiement electronique anonyme. Elle met en 
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place quatre protagonistes : un client CI, un commergant 6, 
une banque 8 et une autorit6 de confiance 4, Chaque client 
CI doit se faire enregistrer dans le systeme et obtenir une 
cle privee SK d'un schema de signature de groupe avant de 

5 pouvoir effectuer sa premiere transaction. Pour effectuer 
un paiement, le client doit retirer des pieces 
dlectroniques PE aupres de sa banque 8. On rappelle qu'une 
piece electronique represente "one donn£e (un numero de 
serie) signee num^riquement par la banque. Les pieces PE 

10 qu'il retire sont anonymes grace a 1 ' utilisation d'un 
mecanisme dit de signature aveugle. 

La depense d'une piece PE chez un commergant 6 se 
fait de la maniere suivante : le client (Cli dans 
l'exemple) genere une signature de groupe portant sur la 

15 pi£ce Electronique PE et transmet 1' ensemble (signature et 
PE) au commergant. Si la piece est valide (verification de 
la signature de la banque) et la signature de groupe est 
authentique, le commergant accepte la transaction. En fin 
de journee (ou au moment le plus opportun) , le commergant 

20 transmet a la banque les signatures et les pieces regues en 
paiement pour compensation de leur valeur. En cas de fraude 
(reutilisation d'une m§me piece dans plusieurs transactions 
par exemple) , la banque 8 envoie la signature de groupe 
portant sur la piece litigieuse a l'autorite de confiance 4 

25 afin qu'elle identifie le client indelicat et sanctionne le 
contrevenant . 

II existe de nombreux articles proposant des schemas 
de signature de groupe. Actuellement , deux d'entre eux sont 
les plus souvent cites : i) J. Camenisch, M. Stadler 
30 "Efficient group signature scheme for large groups" In 
B.Kaliski, Advances in Cryptology; Eurocrypt 9 97, vol.1294 
de LNCS, pages 410-424. Springer Verlag, 1997, et ii) G. 
Ateniese, J. Camenisch, M. Joye, G. Tsudik "A practical and 
provably secure coalition-resistant group signature scheme" 
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In M. Bellare Advances in Cryptology - CRYPTO 2000, vol. 
1880 de LNCS, pages 225-270. Springer Verlag. 

lis sont tous les deux bases sur la m§me idee 
generale qui est la suivante. 
5 Tout d'abord, ils considerent un schema de signature 

ordinaire, par exemple selon 1 1 algorithme RSA (Rivest, 
Shamir, Adleman) , un schema de chif frement probabiliste (si 
on chif f re deux fois le m&ne message, les chiffr^s 
correspondants sont differents) et semantiquement sur (il 
10 est impossible d'apprendre une quelconque information sur 
le texte clair a partir du chiffr£) . 

Ensuite, une autorite de confiance 4 responsable du 
groupe G genere les cl6s de chiffrement et de signature, 
puis met les cles publiques correspondantes dans un endroit 
15 gen^ralement accessible, par exemple un annuaire. Elle 
garde secrete les cl£s privees SK associees. 

Pour devenir membre du groupe, une personne 
determine un identifiant (valeur numerique que 1' autorite 
de confiance peut relier a la personne physique ou morale 
20 membre du groupe) et interagit avec 1' autorite de confiance 
4 pour obtenir un certificat de membre qui est en fait la 
signature de 1 1 identifiant a l f aide de la cl6 privee SK de 
signature de 1' autorite de confiance. 

Pour signer un message m au nom du groupe, le membre 
25 en question realise deux actions : 

- action i) : chiffrer son identifiant a l'aide de 
la cle publique de chiffrement de 1' autorite de confiance 
(cette partie servira k ouvrir £ventuellement la signature) 
et 

30 - action ii) : faire la preuve qu'il connait un 

certificat de membre associe au texte clair inclus dans le 
chif f re (preuve qu'il fait bien partie du groupe) . 

On se base ici sur la cryptographie, et plus 
particulierement sur les preuves de connaissance pour 
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obtenir les proprietes voulues sur les signatures de 
groupe . 

La verification de la signature consiste a verifier 
la preuve de connaissance, par exemple du type a 
5 connaissance nulle. L'ouverture de la signature est le 
simple dechif frement de 1 ■ identif iant . 

L 1 inconvenient majeur d'un tel principe est le poids 
des calculs. En effet, chaque signature necessite de 
realiser un chif frement (action i) et surtout un certain 
10 nombre de preuves de connaissance (action ii) qui sont en 
pratique tres coGteuses en temps de calcul, puisque mettant 
en oeuvre de nombreuses exponentiations modulaires (par 
exemple, il faut environ une seconde par exponentiation 
modulaire avec une carte a puce munie d f un 
15 cryptoprocesseur) . 

Au vu de ce, qui precede, la presente invention a 
pour but de mettre en place un schema de signature de 
groupe qui soit tres rapide, c'est-a-dire ne demandant que 
tres peu d' exponentiations modulaires (dans les exemples 
20 typiquement une ou deux exponentiations au maximum) , tout 
en gardant les proprietes des schemas de signature de 
groupe actuels (taille de signature constante, schema stir, 
cle publique inchangee a I'arrivee d'un nouveau membre, 
etc . ) . 

25 Sur le plan industriel, elle permet ainsi une mise 

en oeuvre rapide m§me en utilisant des supports de calcul a 
capacite r^duite, telles que des cartes a puce et 
dispositifs communicants portatifs analogues. 

Plus particulierement, 1 ' invention pr^voit, selon un 

30 premier objet, un systeme de signature de groupe permet tant 
a un membre d'un groupe de produire, a l'aide d ! une donnee 
personnalisee, vm message accompagne d'une signature 
prouvant a un v^rifieur que le message provient d'un membre 
du groupe, 
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caracterise en ce que la donnee personnalisee se 
presente sous forme integree a un support materiel 
electronique. 

Dans un mode de realisation pr£fer£, le support 
5 materiel electronique integre egalement des moyens de 
chiffrement pour realiser un chiffre personnalise a partir 
de ladite donnee personnalisee prealablement a la signature 
du message, des moyens pour realiser une combinaison d'un 
message a signer et le chiffre associ£ a ce message, par 
10 exemple sous forme de concatenation du message avec le 
chiffre, et des moyens de signature du message avec la 
donnee personnalisee sous forme de chiffre associe a ce 
message. 

La donnee personnalisee peut etre un identifiant 
15 personnel au membre, le support materiel Electronique 
integrant en outre une cle de chiffrement commune aux 
membres du groupe, et les moyens de chiffrement rEalisant 
un chiffre de 1 1 identifiant avec cette cle de chiffrement. 

De preference, les moyens de chiffrement realisent 
20 un chiffre de 1 ' identifiant et d'un alea. 

En variante, la donnee personnalisee peut etre une 
c!6 de chiffrement diversifiee, propre k chaque membre du 
groupe, les moyens de chiffrement rdalisant un chiffre d'au 
moins une donnee, par exemple un alea, avec la cle de 
25 chiffrement. 

Les moyens de chiffrement peuvent mettre en oeuvre un 
algorithme de chiffrement a cle secrete, par exemple 
l'algorithme connu par la designation AES (advanced 
encryption standard), ou un algorithme de chiffrement & cle 
30 publique, par exemple l'algorithme connu par la designation 
RSA ( Rives t, Shamir, Adleman) . 

Avantageusement, les moyens de signature mettent en 
oeuvre un algorithme de signature k cl6 privee, par exemple 
l'algorithme connu par la designation RSA, celui-ci pouvant 
35 inclure la norme dite PKCS#1 telle que d^finie notamment 
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dans le document "RSA Cryptography Standard - RSA 
Laboratories. Draft2 - 5 janvier 2001". 

Avantageusement, le support materiel Electronique 
est un dispositif communicant portatif , notamment une carte 
5 a puce. 

Selon un deuxieme aspect, 1 ' invention concerne 
egalement un proced6 d' emission d'un message avec une 
signature de groupe de ce message, caracterise en ce qu'il 
met en oeuvre le systeme selon le premier aspect, la 
10 signature du message etant produite avec une cle SK privee 
commune aux membres du groupe et integrant la donnee 
personnalisee produite a partir du support materiel 
electronique , 

le procede prevoyant de transmettre le message ainsi 
15 signe a un verifieur sans recours a une fourniture de 
preuve k ce dernier de 1 ' appartenance de membre audit 
groupe, tel qu'un certificat de membre ou la preuve de 
possession d'un tel certificat. 

Selon \in troisieme aspect, 1 1 invention concerne un 
20 procede de verification d'un message regu avec une 
signature de groupe de ce message, le message ayant ete 
emis conformement au procede selon le deuxieme aspect, 
caracterise en ce que la verification est r^alisee au moyen 
d ! une cl£ publique qui correspond a ladite cl6 privee. 
25 Selon un quatrieme aspect, 1' invention concerne un 

proc£d£ d'ouverture d'une signature produite par le systeme 
selon le premier aspect, caracterise en ce qu ! il comprend 
les e tapes cons is tan t a : 

- mettre a disposition prealablement a la signature 
30 des donn£es de correspondance entre les identites des 

membres du groupe et leur donnee personnalisee ; 

- dechiffrer la donnee personnalisee regue a partir 
d'un support materiel electronique dont la signature est a 
ouvrir ; et 
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- mettre en correspondance la donnee personnalisee 
d^chiffree avec I'identite du membre du groupe. 

Selon un cinquieme aspect, 1 ' invention concerne un 
proced6 de preparation d'un support materiel electronique 
5 du systeme selon le premier aspect, personnalise a un 
membre admis £ un groupe, caract&rrise en ce qu'il comprend 
les etapes consistant a : 

- produire la donnee personnalisee destinee audit 
support materiel electronique a personnaliser ; efe 

10 - inscrire cette donnee personnalisee avec une cle 

privee de signature dans le support. 

L' invention et les avantages qui en decoulent 

apparaitront plus clairement a la lecture de la description 

qui suit des modes de realisation preferes, donnas purement 
15 a titre d'exemples non-limitatif s, par reference aux 

dessins annexes dans lesquels : 

- la figure 1, deja decrite, est un schema de 
principe illustrant un exemple de codage de groupe dans le 
cadre d'une vente aux encheres ; 

20 - la figure 2, deja decrite, est un schema de 

principe illustrant un exemple de codage de groupe dans le 
cadre d' achats par des pieces electroniques ; 

- la figure 3 est un schema servant a illustrer des 
transactions au moyen d'une carte a puce pour la signature 

25 de messages conformement a 1 ' invention ; 

- la figure 4 est un schema bloc des elements 
fonctionnels d'une carte i puce pouvant §tre utilis^e pour 
realiser les signatures de groupe conformement a 
1 ' invention ; 

30 - la figure 5 est un organigramme general des 

elements fonctionnels qui interviennent au sein d'une carte 
a puce pour realiser les signatures de groupe conformement 
a 1' invention ; 
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- la figure 6 est un organigramme d'un premier 
exemple de mise en oeuvre d* elements specif iques vis-a-vis 
de 1' organigramme de la figure 5 ; 

- la figure 7 est un organigramme selon une variante 
5 du premier exemple, et 

- la figure 8 est un organigramme d'un deuxieme 
exemple de mise en oeuvre d' elements specif iques vis-a-vis 
de 1 1 organigramme de la figure 5. 

Conformement 1' invention, plutot que d'envisager 

10 les deux actions i) et ii) precitees de I'etat de la 
technique, on prSvoit une approche selon laquelle 
1 1 identif iant n f est plus associee directement k une 
per sonne physique ou morale, mais intSgrS a un dispositif 
electronique communicant attribuS k un membre autorise d'un 

15 groupe. Dans le mode de realisation, le dispositif, qui 
est typiquement portatif tel qu'une carte a puce ou un 
boitier incorporant celle-ci (par exemple un terminal de 
telephone mobile) , comprend avantageusement sur un m§me 
ensemble physique : vine donnee personnalisee (identif iant 

20 ou cle de chiffrement diversifiee) memorisee sous forme 
electronique, les moyens pour chiffrer cette donnee, et les 
moyens pour realiser la signature de groupe sur 1' ensemble 
comprenant le message a transmettre et le chiffre de la 
donnee personnalisee. 

25 Un exemple de mise en oeuvre de 1' invention est 

represents a la figure 3 pour le cas d'un membre M d'un 
groupe G qui realise, <k l'aide d'une carte a puce 
personnalisee 26, des transactions avec des prestataires de 
service, en l 1 occurrence un serveur d^nchdres 2 et un 

30 commergant 6. La communication entre un membre M et un 
prestataire peut se faire par tout moyen connu, par exemple 
depuis son ordinateur personnel (PC) 10 via un r^seau de 
communication, tel qu 1 Internet, ou par un telephone mobile 
27 equips d'un lecteur 27a de carte a puce externe, 

35 l'echange de donnees avec les prestataires de service 2, 6 
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s'effectuant alors par voie hertzienne 29 via 1'antenne 27b 
du telephone mobile. 

L 1 ordinateur personnel 10 comprend notamment une 
unit6 centrale 14, une carte modem 16 ou autre interface de 
5 communication avec le r^seau 12, un ecran de visualisation 
18, et un clavier 20 avec dispositif de pointage 22. II 
comprend £galement un lecteur de carte a puce 24 par 
laquelle la carte a puce 26 peut communiquer avec son unit6 
centrale 14 et sur le reseau 12. La partie puce 26a de la 

10 carte est de pr6f£rence du type securise. 

Les services offerts par le serveur d'encheres 2 et 
le commergant 6 sont identiques a ceux decrits dans le 
cadre respectivement des figures 1 et 2, et ne seront pas 
decrits a nouveau par souci de concision. De m§me, leur 

15 mode de fonctionnement avec la banque 8 (pour le commergant 
6) et l'autorite de confiance 4 est sensiblement le m§me. 

Conformement a 1' invention, l'autorite de confiance 
4 delivre un identifiant z h un membre M accepte par elle 
du groupe G directement sous forme materielle, en 

20 1" occurrence sous forme de la carte a puce personnalisee 26 
avec une puce securis^e 26a. 

L' inscription de la donnee personnalisee dans une 
carte (sous forme d' identifiant z ou de cle K diversifiee 
designee Kz) s'effectue par un protocole d'echange de 

25 donne§es via une borne g£ree par l'autorite de confiance. 
La donnee personnalisee est 6tablie et stock^e au sein de 
la carte durant cet echange. 

L'autorite de confiance 4 peut egalement etablir la 
donnee personnalisee avec une carte a puce existante des 

30 lors que cette carte soit a m§me de permettre le chargement 
de donnees apres qu'elle soit emise. Ceci est notamment le 
cas avec des cartes polyvalentes destinees a int^grer de 
nouvelles applications a tout moment par chargement a 
partir d'une borne, permettant de reunir plusieurs services 

35 ou fonctions distincts sur un seul support. 
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L'autorite de confiance associe done un membre 
(personne physique ou morale, d6sign£ de maniere g£nerique 
par le terme "personne") du groupe G a sa donnee 
personnalisee par le biais de la carte personnalisee 26 
5 emise pour cette personne. Celle-ci n'aura done pas de 
lui-m§me a enregistrer sa donnee personnalisee et a fournir 
la preuve cryptographique qu'il la possede. 

Une carte personnalis£ 26 est emise a une personne 
candidate par l'autorite de confiance 4 lorsque cette 

10 personne remplie les conditions pour devenir membre du 
groupe G, avec les verifications et precautions d' usage, & 
I'instar de l 1 emission d'une carte bancaire classique. 
L'autorite de confiance enregistre notamment la 
correspondance entre la donnee personnalisee contenue dans 

15 une carte 26 emise et l'identite (par exemple le nom) de la 
personne a qui cette carte a ete rendue. 

En resultat, la securite repose ici d'une part, sur 
un dispositif contenant une puce s6curisee 26a et, d' autre 
part, sur une cle. Celle-ci peut %tre soit partag^e par 

20 tous les membres M du groupe G pour generer une signature 
de groupe lorsque la donnee personnalisee est un 
identifiant & chiffrer par cette cle, soit diversifiee, 
c'est-&-dire specif ique au membre lorsqu'elle constitue 
elle-meme la donnee personnalisee. Les aspects detaill^s 

25 de cette approche sont presentes dans ce qui suit. 

Tout d f abord, les modes de realisation de 
1' invention font appel a un schema de signature ordinaire S 
et un algorithme de chiffrement probabiliste et 
semantiquement sQr (algorithme 4 cle publique ou a cle 

30 secrete). Ensuite, l f autorite de confiance 4 responsable du 
groupe g^ndre la ou les cle(s) de signature SK ou analogue, 
puis met dans un annuaire la cle publique correspondante . 
Elle garde secrete la cle privee de signature, puis elle 
publie toutes les informations necessaires k la mise en 

35 oeuvre de 1" algorithme de chiffrement. 
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Pour devenir un membre, une personne obtient aupres 
de l'autorite de confiance 4 une carte a puce 26 contenant 
d f une part, soit un identifiant z,soit une cle K 
diversifiee (l'autorite de confiance gardant en memoire le 

5 lien entre la carte a puce, 1 1 identifiant z, et le cle K 
diversifiee ainsi que le nouveau membre M) , et d'autre 
part, la cle privee de signature SK. Celle-ci est done en 
fait une cle partag^e entre tous les membres du groupe G. 
La carte poss&de de plus toutes les informations 

10 necessaires au chif f rement a l'aide de I'algorithme fourni 
par l'autorite de confiance. Muni de cet ensemble 
d' elements integres dans la carte a puce 26, le membre M 
peut, k l'aide de cette derniere, signer un message m au 
nom du groupe G, cette signature S pouvant §tre ouverte par 

15 l'autorite de confiance (et par elle seule) si cela est 
necessaire. 

Pour signer un message m au nom du groupe, le membre 
utilise sa carte k puce qui va prendre en entree le message 
m. La carte va dans un premier temps realiser un 

20 chif f rement specif ique au membre k l'aide de l'algorithme 
de chif f rement de l'autorite de confiance, puis signer le 
message constitue de au moins le message m de depart et le 
chif f re obtenu pr£cedemment , cette signature etant produite 
a l'aide de la cl£ privee partagee de signature qu'elle 

25 possede en memoire. En sortie, la carte a puce 26 envoie au 
destinataire 2, 6 (v£rifieur) le message, le chif f re et la 
signature. 

La verification de la signature consiste simplement 
a verifier la signature generee par la cle privee partagee, 
30 a l ! aide de la cl6 publique correspondante . L'ouverture de 
la signature par l'autorite de confiance 4 consiste a 
dechiffrer la donnee personnalisee et a trouver la 
correspondance avec l'identite du possesseur de la carte a 
puce 26. 
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Le resultat est tres rapide au niveau de la carte, 
puisque au moment de la signature S il n'y a qu'un 
chiffrement et une signature a effectuer (et done au 
maximum deux exponentiations modulaires) . 
5 Contrairement k l'£tat de l'art relatif aux 

signatures de groupe ou le lien entre 1 ' identif iant et le 
message est realise par des mecanismes cryptographiques 
(preuves de connaissance) , l 1 invention utilise une approche 
materielle avec une securite reposant sur celle d'un objet, 
10 avantageusement s^curise, en 1* occurrence la carte a puce 
26. 

Le principe de f onctionnement des modes de 
realisation au niveau de la carte a puce est decrit de 
mani^re plus detaillee par reference aux organigrammes des 
15 figures 5 a 7. Au prealable, 1 1 architecture general d'une 
carte a puce pouvant etre utilisee dans le cadre de 
1" invention est decrite par reference a la figure 4. 

La figure 4 represente sous forme de schema bloc 
simplifie les elements fonctionnels selon une architecture 
20 possible de la carte a puce 26. Ces elements comprennent : 
- un microprocesseur 28 assurant la gestion de 
fonctions internes et 1' execution de programmes applicatifs 
de la carte. II peut comprendre notamment un 

"cryptoprocesseur" optimise pour les calculs 
25 crytographiques ; 

une memoire vive accessible en ecriture 30 
(designee RAM de l f acronyme anglo-saxon "random access 
memory"). Cette memoire sert entre autres a 

1 'enregistrement de donnees ephemeres, par exemple les 
30 resultats intermediaires de calculs algorithmiques ; 

une memoire r&nanente 32 de technologie 
programmable et & effacement 61ectronique (designee EEPROM 
de l'acronyme anglo-saxon "electrically erasable 
programmable read-only memory (ROM) ) . Cette memoire sert 
35 notamment pour le stockage de donnees a long terme apr£s la 
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fabrication de la carte, par exemple la donnSe 
personnalisee de la carte, le code logiciel lie aux 
algorithmes utilises, etc. ; 

une memoire fig6e 34 du type ROM "masque" , 
5 programmee avec des donnees immuables lors de son procedS 
de fabrication a l'aide de masques. Cette m&noire 
enregistre notamment le code de gestion interne de la 
carte, mais peut egalement stocker des donnees du cryptage 
communes aux membres du groupe. Le partage du stockage des 

10 donnees entre les memoires EEPROM 32 et ROM masque 34 est 
au choix du concepteur ; 

- une interface de communication 36 par laquelle la 
carte echange des donnees avec 1 1 environnement exterieur, 
tel que le lecteur de carte 24 ou 27a ; et 

15 - un bus interne 38 qui relie les elements 

precit^s. 

Le principe general du f onctionnement de la carte 26 
pour la signature de messages est represents a la figure 5. 
Cette figure comporte un cadre a 1 1 inter ieur duquel tous 

20 les elements - donnees ou actions - se situent au sein meme 
de la carte a puce, d'ou sa designation 26. Dans le cas 
illustre, la donnee personnalisee est sous la forme d'un 
identifiant z. 

Pour chaque message m & transmettre devant porter la 

25 signature S du groupe, la carte 26 soumet son propre 
identifiant z (case Bl) k un algorithme de chiffrement 
(designation g<§nerique E) (case B2) . La case Bl est 
representee en pointilles, s'agissant d'un element qui peut 
§tre supprime en cas d' utilisation d'une cl6 diversifiee 

30 Kz. Concretement, cette action consiste a faire executer 
par le microprocesseur 28 le code de 1' algorithme E lu k 
partir de 1 ' EEPROM 32 et, le cas echeant, de la memoire ROM 
masque 34, avec insertion, en tant que param&tre, de 
1 ! identifiant z lu en interne a partir d'une memoire de la 

35 carte, par exemple la m&noire EEPROM 32. L ! algorithme E 
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fait 6galement intervenir au moins un autre parametre, tel 
qu'un nombre aleatoire et une cle de chiffrement, comme 
decrit plus loin par reference aux exemples. Le resultat 
de 1' algorithme E sur 1 1 identif iant z est le chiffre de 
5 1' identif iant, designe C = E(z) (case B3). Le chiffr6 C et 
ensuite stocke provisoirement en interne dans la memoire 
RAM 32. 

En parallele, la carte r^ceptionne le message m a 
signer sur son interface de communication 36 et 
10 l'enregistre provisoirement dans la memoire RAM 32 (case 
B4) . 

Ensuite, la carte realise la concatenation m' du 
message m et du chiffr<§ C (case B5) , soit m' = m||C. Cette 
operation consiste a produire un sequence binaire 

15 comportant la suite des bits du message m suivie/precedee 
des bits du chiffre C. 

La concatenation m' est ensuite fournie en tant que 
parametre a un autre algorithme, dit de signature 
(designation gen&rique Sig) (case B6) , qui produit la 

20 signature de m' a I'aide d'une cle privee de signature SK. 
Concretement, cette operation consiste a faire executer par 
le microprocesseur 28 le code de 1' algorithme Sig lu a 
partir de l'EEPROM 32 et, le cas echeant, de la ROM masque 
34, avec insertion, en tant que parametre, d'une part la 

25 cl6 de signature SK, lue en interne a partir d'une memoire 
de la carte, par exemple la memoire EE PROM 32, et d' autre 
part la concatenation m 1 lue a partir de la memoire RAM 30. 

La signature authentifi^e S du message m ainsi 
produite par cet algorithme Sig est alors transmise en 

30 sortie a I 1 interface de communication 36 de la carte 26 
pour exploitation dans le cadre du systeme de transaction 
de groupe G. Plus particulierement , le signature produite 
avec la cl£ privee de signature SK sur l'op^rande m 1 , soit 
SigsKdn 1 ), forme un ensemble transmis depuis l'ordinateur 
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personnel 10 ou le telephone mobile 27 vers un prestataire 
de services 2 ou 6. 

Ces derniers, agissant en tant que "verif ieur " , 
peuvent etablir si le message m extrait de la signature 
5 SigsKdn 1 ) provient ef f ectivement d'une carte authentique 26 
au moyen d'un algorithme de verification (designation 
generique Verp K (m',S)) et d'une cle publique PK mise a la 
disposition g^nerale par l'autorite de confiance 4. Cet 
algorithme est de nature dichotomique, produisant une 
10 reponse oui/non. 

Au niveau de l'autorite de confiance 4, la signature 
est ouverte au moyen d'un algorithme de dechif f rement D 
permettant de retrouver la correspondance entre 
l'identifiant z et 1 ' identite du possesseur de la carte a 
15 puce 26, soit z = D(C) . 

Le tableau I resume les entites utilises par les 
differents protagonistes dans ce cadre general : 

Tableau I : liste des entites utilisees par un 
membre M(carte 26)/ un verif ieur V et l'autorite de 
20 confiance pour le mode de realisation general. 

Elements utilises Elements utilises 

par Membre M (carte 26) par Verif ieur V 

(prestataire de services 
2, 6) 

25 message m c!6 publique PK 

identifiant z Ver PK (m , / S) = oui/non 

cle privee SK 
C = E(z) 
m 1 = m||C 
30 S = SigsKdn 1 ) 

Elements utilises par 
l'autorite de confiance 4 
z = D(C) 

II sera maintenant d^crit deux exemples particuliers 
35 bas£s sur le mode de realisation general de la figure 5, 
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par reference respectivement aux figures 6 a 8. Chacune de 
ces figures est un or gani gramme base sur celui de la figure 
5. Les elements (cases) des figures 6 k 8 qui 
correspondent a ceux de la figure 5, mais sous forme 
5 specif ique, portent les m§mes r£f£rences suivi d'un signe 
" ' " (prime) pour le cas de la figure 6 et d'un signe " ' ' " 
(double prime) pour le cas de la figure 7 ; les elements 
identiques entre les figures 5 et les figures 6 a 8 portent 
les m§mes references. Les aspects communs aux figures 6 a 8 

10 deja decrites par r£f6rence a la figure 5 ne seront pas 
repetes par souci de concision. 

Exemple 1 : mode de realisation base sur l'algorithme 
de chif frement AES et de signature RSA 

Dans cet exemple (figure 6), le schema de signature 

15 choisi est l'algorithme RSA. Le module sera note n, la cle 
privee est SK et correspond a la cle partagee ; la cle 
publique est PK. L'algorithme de chif frement choisi dans 
1' exemple est AES (de 1' anglais "advanced encryption 
standard") qui est done un algorithme a cle secrete. On 

20 note K la cl6 associee. Dans ce cas illustr6, il s'agit 
d'un cle partagee parmi tous les membres M du groupe G. 
L'autorite de confiance publie PK et garde toutes les 
autres cles secretes. 

Conformement k ce premier exemple, l'algorithme AES de 

25 chif frement B2 1 accepte en tant que parametre d 1 entree : i) 
l'identifiant z (case Bl), ii) une cle secrete de 
chif frement K (case B8) partagee parmi tous les membres M 
admis au groupe G et stockee dans la memoire EEPROM 32 et 
iii) un alea r (case B9) . Ce dernier est un nombre 

30 aleatoire d'une longueur binaire predeterminee, gen^r^e au 
sein de la carte 26 au moyen d'un code logiciel execute par 
le microprocesseur 28. L'alea r est renouvele a chaque 
signature de message m. 
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15 



20 



25 



30 



L 1 algorithme AES produit alors le chiffr6 C de 
1' iderxtif iant et de l'al6a r avec AES et la cle secrete K 
(case B3 ' ) . 

Ce chiffre C est ensuite soumis a une concatenation 
m* = m||C (case B5) , puis fourni en tant que parametre 
d 1 entree a un algorithme de signature de type RSA (Rivest, 
Shamir, Adleman) (case B6 1 ) . Cet algorithme prend en 
entree une cle privee de signature SK (case B7), avec 
lequel il produit la signature RSA de m" , soit S = m ,,SK mod 
n, ou m" = le r£sultat de PKCS#1 sur m' ; o\l "mod n" 
signifie 1 ' arithmetique modulo n et PKCS#1 est une norme 
definie notamment dans le document "RSA Cryptography 
Standard - RSA Laboratories, Draft2 - 5 janvier 2001". 

Le tableau II resume les entites utilisees par les 
differents protagonistes du groupe G selon le premier 
exemple: 

Tableau II : liste des elements utilises par un 
membre M(carte 26), un verifieur V et I'autorite de 
confiance selon 1' exemple 1. 



35 



Elements utilises 

par Membre M (carte 26) 



message m 
identifiant z 
cl6 privee SK 
alea r 

C = AES(z / K / r) 

m 1 = m||C 

m" = PKCSttKm 1 ) 

S = m ,,SK mod n 
Elements utilises par 
I'autorite de confiance 4 
z = AES(C,K) 
z O M 



Elements utilises 
par Verifieur V 

(prestataire de services 
2, 6) 

cle publique PK 
m" = S PK mod n ? 
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Une s^curite supplementaire consiste a scinder 
l'autorite de confiance en deux. La premiere possede 
uniquement la cle privde SK (et n'a pas connaissance des 
identifiants des membres) : c'est l'autorite de groupe 
5 (c'est elle qui intervient lors de la phase d' inscription 
au groupe) . La seconde poss&de seulement la cl6 K ainsi 
que tous les identifiants des membres du groupe : c'est 
l'autorite d'ouverture (c'est elle qui intervient lors de 
la phase d'ouverture des signatures). Ainsi, une autorit6, 
10 seule, ne peut pas se faire passer pour l'un des membres. 
Cette approche ressort du principe qu'il est preferable de 
ne pas confier toute la securite du systeme a une seule 
autorite. 

A l'arriv^e d'un nouveau membre dans le groupe, 

15 l'autorite de confiance cree pour lui une nouvelle carte k 
puce et place dans sa memoire n, SK et K ainsi qu'une 
valeur z (l'identifiant du membre). Elle note dans sa base 
de donnee que la valeur z est associee a ce nouveau membre. 

Lorsque ce membre desire signer un message, il 

20 insure sa carte dans un lecteur et lui demande de signer le 
message m. Dans un premier temps, la carte a puce utilise 
l'algorithme AES avec comme entrees la cl6 K, la valeur z 
et un al£a r (le chiffrement est ainsi probabiliste) pour 
obtenir en sortie le chiffre C. Ensuite, elle fabrique le 

25 message m' en concat^nant le message m et le chiffre C 
qu'elle vient d' obtenir, puis modifie le resultat en un 
message m" selon par exemple la norme PKCS#1. Enfin, elle 
calcule S = m" SK modn. Le couple (S, C) est la signature de 
groupe du message m. 

30 Le v&rifieur n'a besoin que de n et de PK pour 

verifier que la signature vient bien d'un membre du groupe. 
II n'a qu'a verifier que m"= S PK modn, conformement a la 
norme d<§finie plus haut. De plus, ne pouvant dechiffrer C 
(il ne possede pas la cle K) , il n'a aucun moyen de savoir 

35 a quel membre il a affaire. 
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Si l'autorit£ de confiance desire ouvrir la 
signature, elle n'aura qu'& utiliser I'algorithme AES et la 
cle K (il n'a pas besoin de l'alea r pour dechiffrer) pour 
obtenir z et regarder dans sa base de donn^es qui 
5 correspond a z. 

Une variante elevant le niveau de securite consiste 
a choisir la cl6 Kz de chiffrement diversifiee selon 
1' identif iant, et de ne chiffrer que l'alea r, c'est-&-dire 
d'attribuer une cl6 Kz diff&rente pour chaque membre M du 
10 groupe G. 

Dans cette variante, illustree a la figure 7, on 
s'affranchit de 1 1 identif iant z en tant que tel, celui-ci 
n'£tant plus n^cessaire pour individualiser la carte 26 : 
1 ' individualisation est obtenue a la place directement par 

15 la cl6 de chiffrement diversifiee Kz (case B8) du fait 
qu'elle est individuelle. 

Sur le plan materiel, cette variante est mise en 
ceuvre de maniere analogue au premier exemple, mais en 
introduisant comme parametre dans l'algorithme de 

20 chiffrement (celui-ci pouvant toujours §tre l'algorithme 
AES) seulement l'al6a r, charge comme d^crit prec^demment 
(case B9), la case Bl etant naturellement supprim^e. Le 
chiffre C qui en resulte est traits de la meme maniere 
(case B3 ' et suivantes) . On note que l'alea r integre dans 

25 le chiffre assure la m§me fonction de decorreler le message 
m de sa signature. 

Ainsi, si une carte a puce est corrompue, le 
fraudeur n'aura acces qu'a la cle diversifiee Kz de cette 
carte, et ne pourra done pas produire une signature de 

30 groupe au nom d'un autre identif iant que celui contenu dans 
cette carte. La phase d'ouverture consiste alors a tester 
toutes les cles de chiffrement existantes jusqu'a tomber 
sur la bonne. 
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Exemple 2 ; mode de realisation base sur 1 1 algorithme 
d chif frem nt RSA et de signature RSA 

Cet exemple (figure 8) est voisin de celui du 
premier exemple (figure 6 ou 7), et seulement des 
5 differences vis-a-vis de celui-ci seront decrites. 

Le schema de signature choisi est une nouvelle fois 
1 1 algorithme RSA. Le module sera note n, la cle secrete 
est SK et correspond a la cle partag6e ; la cl6 publique 
est PK. L' algorithme de chiffrement est cette fois-ci 
10 asymetrique puisqu'il s'agit du cryptosysteme RSA comme 
decrit dans la norme pr£cit£e. Le module sera note n' . La 
cle publique de chiffrement est e et la cl<§ privee associee 
est d. 

A l'arriv^e d'un nouveau membre M dans le groupe G, 

15 I'autorite de confiance produit une nouvelle carte a puce 
26 ou charge des donnees dans une carte existante et place 
en m^moire n, n', e et SK, ainsi qu'une valeur z 
(1 ' identifiant du membre). Elle note dans sa base de 
donnees que la valeur z est associee k ce nouveau membre. 

20 Lorsque ce membre desire signer un message, il 

insere sa carte 26 dans un lecteur 24 ou 27a et lui demande 
de signer le message m. Dans un premier temps, la carte va 
chiffrer son identifiant z a l'aide du cryptosysteme RSA 
(case B2" ). Pour cela, elle modifie la valeur z selon par 

25 exemple la norme precit6e pour obtenir la valeur z 1 (cette 
modification prend en parametre entree z et un alea r(case 
B9)). Elle g&nere ensuite C = z ,e modn', qui est le chiffre 
de 1 ' identifiant, sur la base de la cle publique e (case 
Bll) . Ensuite, elle fabrique le message m 1 en concat^nant 

30 le message m et C qu ? elle vient d 1 obtenir (case B5), puis 
modifie le resultat en un message m" selon par exemple la 
norme PKCS#1 precitee, Enfin, elle calcule S = m" SK modn 
(case B6 1 ') sur la base de la cle privee de signature SK. 
Le couple (S,C) est la signature de groupe du message m. 
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Le tableau III resume les entites utilisees par les 
differents protagonistes du groupe G selon le premier 
exemple: 

Tableau III : liste des elements utilises par un 
membre M(carte 26), un verifieur V et l'autorite de 
confiance selon 1' exemple 2. 



Elements utilises 

par Membre M (carte 26) 



Elements utilises 
par Verifieur V 

(prestataire de services 
10 2, 6) 

message m cle publique PK 

identifiant z m" = S PK mod n ? 

cle privee SK 
al6a r 

15 z,r => z' (cf . PKCS#1) 

C = z ,e mod n' 
nT = m||C 

m' => m" (cf . PKCS#1) 
S = m ,,SK mod n 
20 Elements utilises par 

l'autorite de confiance 4 

z = C d mod n' 

z' => z (cf. PKCS#1) 

z <=t> M 

25 Le verifieur 2,6 n'a besoin que de la valeur n et de 

PK pour verifier que la signature vient bien d ! un membre du 
groupe. II n'a qu'a verifier que m" = S PK mod n (cf. la 
norme PKCS#1 precitee) . De plus, ne pouvant d^chiffrer C 
(il ne possede pas la cle K) , il n'a aucun moyen de savoir 

30 a quel membre il a affaire. 

Si l'autorite de confiance 4 desire ouvrir la 
signature, elle calcule C d mod p pour retomber sur z 1 , puis 
sur z (la transformation entre z et z 1 ne necessite pas la 
connaissance de l'alea r et est entierement d^crite par la 

35 norme precitee. 
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Bien entendu, le deuxieme exemple permet aussi de 
scinder l'autorite en deux, corame decrit dans le cadre du 
premier exemple, De meme, il est egalement envisageable 
dans ce deuxi&me exemple d'utiliser comme donn^e 
5 personnalisde un cle diversifiee, et de s'affranchir de 
l f identifiant z, a l'instar de la variante de 1* exemple 1 
(cf . figure 7) . 

On comprendra de ce qui precede que 1 ■ invention 
presente un avantage remarquable en termes de collts de 
10 calcul, puisqu'il suffit d' avoir au niveau de la carte 26 
juste un algorithme de chiffrement et un algorithme de 
signature, qui ensemble ne necessitent que deux 
exponentiations modulaires . 

L ' invention permet de nombreuses variantes aussi 
15 bien au niveau des moyens materiels, cryptographiques, 
logiciels, communication entre les intervenants, qu'au 
niveau de applications. 

En effet, la signature de messages peut §tre 
effectuee par tout dispositif adapte ne relevant pas 
20 forcement de la technologie des cartes a puce, tels que 
objets portatifs specif iques, assistants personnels 
communicant, ressources d'un telephone mobile, etc. 

On peut par ailleurs aussi envisager d'autres 
systemes algorithmiques que ceux (AES et RSA) des exemples. 
25 La communication entre un membre M et un prestataire 

peut aussi s'effectuer par des liaisons locales, cablees, 
hertzien, infrarouge ou autre. 

Enfin, les applications donnees (commerce avec 
pieces electroniques, ventes au encheres) ne sont que des 
30 exemples parmi de nombreuses autres applications possibles. 
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REVENDICATIONS 

1. Systeme de signature de groupe permettant a un 
membre (M) d'un groupe (G) de produire, a l'aide d'une 
donnee personnalisee (z; Kz) , un message (m) accompagne 
d'une signature (S) prouvant & un verifieur (2, 4) que 
ledit message provient d'un membre du groupe (G) , 

caracterise en ce que ladite donnee personnalisee se 
presente sous forme integree a un support materiel 
electronique (26) . 

2. Systfeme selon la revendication 1, caracterise en 
ce ledit support materiel electronique (26) integre des 
moyens (B3) de chiffrement pour realiser un chiffre (C) 
personnalise £ partir de ladite donnee personnalisee (z; 
Kz) prealablement a la signature S du message (m) . 

3. Systeme selon la revendication 2, caracterise en 
ce que ledit support materiel Electronique (26) integre en 
outre des moyens (B5) pour realiser une combinaison d'un 
message (m) a signer et le chiffre C associe & ce message, 
sous forme de concatenation du message m avec le chiffre 
(C) . 

4. Systeme selon l'une quelconque des revendi cat ions 

1 k 3, caracterise en ce que ledit support materiel (26) 
integre en outre des moyens (B6) de signature (Sig) du 
message (m) avec la donnee personnalisee (z; K) sous forme 
de chiffre (C) associe & ce message, 

5. Systeme selon l'une quelconque des revendications 

2 a 4, caracterise en ce que ladite donnee personnalisee 
est un identifiant (z) personnel au membre (M) et en ce que 
ledit support materiel electronique (26) integre en outre 
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une cle de chiffrement (K) commune aux membres du groupe 
(G) , les moyens (B3) de chiffrement r^alisant un chiffre 
(C) de 1 1 identif iant avec ladite cle de chiffrement. 

6. Systeme selon la revendication 5, caracterise en 
ce que les moyens (B3) de chiffrement realisent un chiffre 
(C) de l'identifiant et d'un alea (r) . 

7. Systeme selon l'une quelcongue des revendi cat ions 
2 a 4, caracteris^ en ce que ladite donnee personnalisee 
est une cl6 de chiffrement (Kz) diversified, propre & 
chaque membre (M) du groupe (G) et en ce que les moyens 
(B3) de chiffrement realisent un chiffre (C) d'au mo ins une 
donnee (r) avec ladite cle de chiffrement, 

8. Systeme selon la revendication 7, caracterise en 
ce que ladite donnee comprend un alea (r) . 

9. Systeme selon l'une quelconque des revendi cat ions 
2 & 8, caracterise en ce que les moyens de chiffrement (B3) 
mettent en oeuvre un algorithme de chiffrement a cle secrete 

(K) , par exemple 1' algorithme corinu par la designation AES 

(advanced encryption standard) . 

10. Systeme selon l'une quelconque des revendications 
2 a 8, caracterise en ce que les moyens de chiffrement (B3) 
mettent en oeuvre un algorithme de chiffrement a cle 
publique (e) , par exemple 1 • algorithme connu par la 
designation RSA (Rivest, Shamir, Adleman) . 

11. Systeme selon l'une quelconque des revendications 
4 a 10, caracterise en ce que les moyens (B6) de signature 
(Sig) mettent en oeuvre un algorithme de signature a cl<§ 
privee (SK) , par exemple 1' algorithme connu par la 
designation RSA (Rivest, Shamir, Adleman) . 
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12. Systeme selon la revendication 11, caracterise en 
ce que I'algorithme de signature est du type RSA et inclut 
la norme dite PKCS#1 telle que definie notamment dans le 
document 11 RSA Cryptography Standard - RSA Laboratories, 
Draft2 - 5 janvier 2001". 

13. Syst&me selon l ! une quelconque des revendications 
1 a 12, caracteris6 en ce que ledit support materiel 
61ectronique est un dispositif communicant portatif (26) . 

14. Systeme selon la revendication 13, caracterise en 
ce que ledit support materiel ^lectronique est une carte a 
puce (26) . 

15. Procede demission d'un message (m) avec une 
signature (S) de groupe (G) de ce message, caracterise en 
ce qu'il met en ceuvre le systeme selon l'une quelconque des 
revendications 1 a 14, la signature du message (m) 6tant 
produite avec une cle (SK) privee commune aux membres (M) 
du groupe (G) et integrant la donnee personnalisee (z; Kz) 
produite a partir du support materiel electronique (26), 
le procede prevoyant de transmettre le message ainsi signe 
a un verifieur (2, 6) sans recours a une fourniture de 
preuve a ce dernier de 1 ' appartenance de merabre (M) audit 
groupe (G) , tel qu'un certificat de membre ou la preuve de 
possession d'un tel certificat. 

16. Proced£ de verification d'un message (m) regu 
avec une signature de groupe de ce message, le message 
ayant ete £mis conformement a la revendication 15, 
caracterise en ce que ladite verification est realisee au 
moyen d'une cl£ publique qui correspondant a ladite cle 
privee (SK) . 
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17. Procede d'ouverture d'une signature (S) produite 
par le systeme selon l'une quelconque des revendications 1 
a 14, caracterise. en ce . . qu ' il cornprend les etapes 
consistant a : 

mettre a disposition, prealablement a la 
signature, des donnees de correspondance entre les 
identites des membres (M) du groupe (G) et les donnees 
personnalisees ; 

- dechiffrer la donn£e personnalisee regue k partir 
d'un support materiel Electronique (26) dont la signature 
est a ouvrir ; et 

- mettre en correspondance la donnee personnalisee 
dechiffree avec l'identite du membre (M) du groupe (G) . 

18. Procede de preparation d'un support materiel 
electronique (26) du systeme selon l'une quelconque des 
revendications 1 a 14, personnalis£ 8i un membre (M) admis a 
un groupe, caracterise en ce qu'il cornprend les etapes 
consistant & : 

- produire la donnee personnalisee (z; Kz) destinee 
audit support materiel electronique (26) a persormaliser ; 
et 

- inscrire cette donnee personnalisee avec une cle 
privee de signature (SK) dans ledit support. 
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